Evaluamos si el gobierno de las tecnologías de la información apoya adecuadamente las estrategias y objetivos de la empresa y está alineada con ellos, revisando para ello la efectividad de los recursos de TI y la gestión de su rendimiento.

• La auditoría continua y a distancia supone un cambio radical en la forma de trabajar de los departamentos de auditoría interna. Un uso apropiado de este método proporciona un grado de cobertura del universo auditable muy superior al de los enfoques tradicionales.
• Sin embargo, su implantación es un proceso arduo y complejo que requiere la involucración de la alta dirección, la colaboración de otras áreas como Tecnología y un enfoque adecuado a medio / largo plazo para evitar que se convierta en una herramienta limitada y difícilmente adaptable a la evolución continua del negocio.
• Desde PKF Attest podemos ayudarles a identificar la solución más adecuada a sus necesidades y facilitarles su desarrollo / adquisición, implantación y despliegue, además de orientarles en como adaptar la gestión de su departamento de Auditoría Interna a este nuevo enfoque.

• Analizamos y evaluamos los riesgos asociados a un proceso de negocio, tanto desde un punto de vista de técnico como operativo, así como los controles implantados para mitigarlos y el riesgo residual existente.

• Se evalua el nivel de control existente en las aplicaciones que soportan los procesos de negocio.

• Las incidencias ocasionadas por deficiencias en la integridad y calidad de la información pueden generar errores financieros, legales y reputacionales muy relevantes. Estas incidencias pueden producirse por diversos factores como la migración de sistemas informáticos, implantación de nuevas aplicaciones, cambios de plataforma, el deterioro paulatino de los datos derivado de la antigüedad de los sistemas, la ausencia de controles en la obtención, mantenimiento y actualización de la información, etc.
• Partiendo del modelo de gobierno existente evaluamos apectos como la completitud, coherencia, integridad, consistencia o trazabilidad de los datos a lo largo de su ciclo de vida, abarcando la información de clientes, de gestión, informes y cuadros de mando, etc.

• Siguiendo el principio de responsabilidad proactiva recogido en el Reglamento General de Protección de Datos (RGPD), el objetivo es emitir una opinión de auditoría sobre la adecuación de las medidas técnicas existentes a la normativa que regula los tratamientos que se realizan sobre datos de carácter personal.

• El outsourcing de servicios tecnológicos es algo habitual hoy en día y su finalidad es aprovechar las ventajas de las economías de escala del proveedor y acceder a perfiles, recursos y conocimiento fuera del alcance por su coste o grado de especialización.
• En PKF Attest evaluamos los riesgos inherentes y controles establecidos en relación a la cesión en modalidad de outsourcing (incluidos los servicios contratados en la nube) de una actividad de TI y verificamos la correcta implantación de procedimientos de valoración y seguimiento adecuados.

• Los procesos de gestión de los sistemas de información han de disponer de los mecanismos necesarios para evitar que cada uno de los roles que intervienen en los procesos de negocio realicen funciones incompatibles o no autorizadas. Una adecuada segregación de funciones es clave si queremos evitar fraudes internos y errores operativos.
• Para evaluar el grado de segregación existente, nos encargamos de analizar las posibles diferencias entre las funciones requeridas por negocio y las autorizaciones implantadas en los sistemas, entornos y aplicaciones significativas.

• El uso de dispositivos móviles (smartphones, tablets, portátiles…) ha crecido considerablemente en las organizaciones, superando ampliamente el uso de equipos de sobremesa.
• Presentan riesgos adicionales como el robo fuera de las ubicaciones físicas de la compañía, mayor tendencia a instalar software para uso personal o una diversidad de sistemas operativos cada uno con sus propias vulnerabilidades. Además, especialmente en el caso de smartphones y tablets, suelen estar asignados a personal con un cargo importante dentro de la organización y acceso a información relevante y confidencial.
• En PKF Attest identificamos los principales riesgos asociados a este tipo de dispositivos evaluando además su gestión y seguridad.

• El objetivo de los planes de continuidad es que -ante una contingencia grave- la empresa vuelva a funcionar normalmente y en el menor tiempo posible para que el negocio no quede afectado.
• Dentro de estos planes, se incluyen los Disaster Recovery Plan, que abarcan la recuperación de la plataforma tecnológica de la compañía (servidores, aplicaciones, datos…).
• Revisamos la estrategia de continuidad adoptada por la compañía, verificando la existencia, razonabilidad y grado de actualización de los planes de contigencia y recuperación de la actividad ante desastres.

• Auditoría del sistema de gestión de seguridad de la información siguiendo la norma ISO/IEC 27001.